Razones para hackear WordPress

Por , actualizado en

“Vamos, hablan de proteger su sitio como si tuvieran información importante que quieran los hackers, a ellos no les importa tu sitio de porquería…”

Escéptico de la seguridad, en un grupo de Facebook

Algo muy parecido decía un comentarista en un grupo de Facebook bastante concurrido, en contestación a la pregunta de alguien de como elegía cada quién blindar su sitio con WordPress. Bien, tengo claro que este sitio no es de seguridad per se pero cuando se trata de WordPress se dicen muchas tonterías de muchos bandos, así que aprovecho para publicar esta nota al respecto. Así que esta persona imagina que los hackers no se fijarán en ti a menos que piensen que tienes la fórmula de la Coca-Cola o tus bitcoins en tu sitio, lo cual no podría estar más equivocado y alejado de la realidad; como algunos sabemos, las razones por las cuales te hackean un sitio muy pocas y contadas veces tiene que ver con lo que almacenas ahí, y si tienen mucho que ver con usar tus recursos como trampolín para algo más.

Sólo por la aplastante presencia que tiene WordPress en Internet (35% más o menos), ya se vuelve un objetivo muy codiciado por muchos hackers; imaginas tener control del ¿qué te gusta? ¿10% del todas las instalaciones de WordPress? desde el punto de vista de ellos, vale la pena intentarlo. Pero ¿porqué? Así que no tienes nada de valor en tu sitio, y aún así te fastidian. Entonces ¿para que querría un hacker vulnerar tu sitio? recientemente Wordfence (los del plugin) discutieron en un vídeo en vivo las principales razones por las que te hackean el sitio, y sin más rollo, ahi te van:

Instalación de backdoors

Muestra un sujeto pasando por una puerta que simula un agujero de llave, ilustrando el concepto de backdoor.

Un backdoor es a su vez un software insertado en algún lugar de tu sitio que le permite a un atacante llevar a cabo un amplio rango de actividades, como por ejemplo ejecutar comandos, entrar al sistema de archivos (y de ahí pasar a atacar al servidor entero), modificar tu sitio para ganar dinero de alguna manera como insertar anuncios o algún otro esquema de monetización. Más aún, puede que inserten varios por si uno de los otros deja de funcionar; y una vez que sirven, se usan una y otra vez hasta que se descubran.

Para combatir esto hay varias recomendaciones que te pueden mantener a salvo: como siempre, mantener actualizado todo, y usar plugins con buena reputación y actuales no está de más que tengas una herramienta que te permita verificar la integridad de tu instalación de WordPress (Wordfence tiene integrado ese chequeo), o hasta con WP-CLI puedes hacerlo si es necesario (un simple wp core verify-checksums te dirá si tu core está intacto), y ayuda mucho que conozcas bien la estructura de carpetas y archivos de WordPress, para hacer inspecciones rápidas a ojo. Sin embargo, no todos los backdoors son fáciles de detectar.

Defacement

Este es un ataque común y seguramente los has visto: generalmente incluye alterar el contenido de un sitio con alguna leyenda como “Este sitio fue hackeado por Y0rpr3s J4k3rs” o alguna tontería similar. Tradicionalmente no hay otra ganancia más que el presumir que lo hiciste; hay sitios de hackers con tableros donde se publican los defacements para diversión de todos ahí, aunque hay otros que puede que no sean tan benévolos con tu sitio y lo arruinen más allá de toda reparación. Hay hasta concursos de ver quién hace más defacements…y si, por diversión.

El problema de los defacements no es repararlos, para eso ya sabes que debes tener: un respaldo fresco. El problema es buscar como lo hicieron, pues si restauras un respaldo lo más seguro es que te vuelvan a atorar de la misma manera. Así que lo que procede es analizar que plugin o tema o incluso saber si hay alguna vulnerabilidad en el core (difícil pero probable) que hayan explotado para entrar; en estos casos la bitácora del servidor te puede ayudar para saber que accesaron recientemente, pero se requiere cierta experiencia para apoyarte en los logs.

Inyección de contenido spam o SEO

Muestra enlaces de spam en los resultados de búsqueda.
Tomado de blog de Sucuri

El atacante inyecta alguna liga a tu contenido para obtener alguna ganancia ya sea en posicionamiento o en dinero; en posicionamiento porque los enlaces entrantes a un sitio son una señal para posicionarse mejor (basicamente así es, pero con criterios mucho más complejos), así que los atacantes modifican sitios de modo que incluyan enlaces hacia el sitio que ellos quieran, mejorando en posicionamiento. Otra variante es que apunten hacia sitios de dudosa reputación como los que promueven medicamentos, juegos y sitios de descargas ilegales, por ejemplo.

Este contenido inyectado por lo general es difícil de detectar e involucra un análisis más a profundidad por un especialista.

Creación de páginas de spam

Esquema similar al anterior, pero puede incluir páginas creadas previamente o bien hasta contenido creado con WordPress; la motivación aquí es monetaria, pueden hacerlo para llevarte a comprar ciertos productos, mejorar el posicionamiento de otro sitio, enlaces de afiliados y otros esquemas. No es fácil de implementar y según Google una señal es que se apalancan con Google Search Console, así que si recibes una notificación de que alguien que no conoces verificó una propiedad tuya, aguas, podría ser una señal.

La forma rápida de saber si sufres de esto es ir a google y hacer una búsqueda por site:misitio.com (cambia la URL misitio.com a la de tu sitio) y eso te mostrará todas las páginas indexadas, incluidas las que estén hackeadas; dale una revisada rápida a las páginas de resultados a ver si ves algo raro, como caracteres extraños o contenido que no sea tuyo.

Lo ideal para la limpieza de este tipo de infecciones es ir con un especialista.

Creación de mailers de PHP

Muestra a una mujer recibiendo una lluvia de correos en la cara.

Tal cual lo dice el nombre la función de estos es enviar correos en un servidor usando PHP; una vez que tienen control de como hacerlo, envían correos spam con información para comprar todo tipo de tonterías. La razón de hacer esto es porque a diferencia de los sitios de los atacantes, el tuyo no tiene mala reputación (aún), no está en las listas negras de spam (todavía), por lo cual los correos enviados muy seguramente lleguen a su destino.

La ventaja de este tipo de ataques es que los proveedores de hosting lo combaten debido a que es preferible hacerlo a que boletinen las IPs del hosting en las listas negras de spam, lo que supone un problema tremendo para estas empresas. Pero como desventaja está que quizás para combatirlo apaguen tu sitio mientras se repara el problema.

Campañas de phishing

Todos sabemos que es el phishing, lo recibimos a diario en los buzones de todos lados, gente de todo el mundo queriendo hacer pasarse por PayPal, bancos, Amazon, etc. Pero si te fijas, verás que esos enlaces están en sitios que…no tienen nada que ver; son sitios normales, blogs, quizás hasta pequeños ecommerce, que operan sin saber que tienen un parásito que está haciendo algo malo.

Muestra un intento de phishing, copiando el login de Google.
El famoso ataque de phishing usando el login de Google que documentó Wordfence

No extrañamente, puedes llegar a estas páginas de phishing a través de -adivinaste- correos de spam, que quizás vengan del mismo lado. Yo en lo personal trato de avisar a los dueños del sitio cuando es posible. Encontrar el origen del phishing en tu sitio puede ser desde fácil hasta muy complicado, pues hay muchos esquemas para hacerlo. Y lo peor que te puede pasar es que te identifiquen como un sitio peligroso, porque en ese caso se mostrará un feo letrero que avisará a los que quieran navegar en tu sitio. Si ya estás en ese punto, mi recomendación es buscar ayuda profesional.

Redirecciones maliciosas

Estas se usan para redireccionar a los usuarios del sitio a otro enlace donde muy posiblemente tu computadora no agarre nada bueno; a través de más engaños quizás quieran hacerte descargar algo, como siempre con la misma finalidad de todas: dinero.

Estas redirecciones casi siempre se hacen por XSS (cross-side scripting), y aquí lo ideal es que siempre tengas actualizado sobre todo el core de WordPress, pero también plugins y temas, y hasta tu navegador.

Servidor de mando y control para botnets

Para aquellos que no sepan que son, las botnets son redes de huéspedes ya comprometidos, a los que se les llama “zombies”, cuyos usos típicos son para hacer ataques de fuerza bruta, o bien de denegación de servicio (DDoS, distributed denial of service), cuyo grupo responde a un servidor de mando y control (o a varios), o como se le conoce en el argot de seguridad informática, un C2 o C&C; a través de un C2 un atacante puede controlar una botnet para hacer cualquier acción que desee.

Muestra un esquema básico de como funciona una botnet.

Aquí ya no se persigue ni que hosting usas, ni si tu sitio tiene tráfico, ni nada; sólo es conseguir el mayor número de recursos posible. Las infecciones y ataques son sofisticados y pudieras necesitar ayuda incluso profesional para limpiar tu sitio.

Criptominería

Muestra dos hombres minando un procesador con un símbolo de bitcoin.

Y por último, puede que te hackeen para minar criptomonedas. Como quizás sepas, la criptominería es un proceso que consume una cantidad monstruosa de recursos, y que mejor manera de solucionarlo que tener a tu disposición cientos de miles de computadoras para correr las rutinas de criptominería e ir más rápido de lo que podrías ir en tu sótano.

Palabras finales

En conclusión, no es tu información lo que quieren, quieren tus recursos, y por ello debes proteger tu sitio. Si de por si la gran mayoría de ellos van a vuelta de rueda con lo tuyo, imagina si aparte carga lo de otros…obviamente esto no funciona. Y en el peor de los casos, puede ser algo bastante grave para tu sitio, pues una infección tranquilamente puede hacer que Google te boletine como sitio con malware o que no puedas mandar correos porque te marcaron como spammer en algún foro.

Las recomendaciones son las de siempre:

  • Manten actualizado core, plugins y temas.
  • Actualiza los passwords y las sales de WordPress de manera periódica.
  • Revisa frecuentemente los reportes de tus plugins de seguridad.
  • Ten siempre un respaldo, recuerda la regla 3 2 1 (3 respaldos, dos en medios distintos, uno en un medio externo).
  • Por piedad evita los temas y plugins nulled y de esos de clubes GPL, nada bueno viene con ellos.
  • Si te hackean, analiza por donde entraron antes de restaurar un respaldo.

¿Ves algo nuevo? para nada, son los mismos consejos básicos de seguridad de toda la vida.

Pues ahí tienes; si tu no valoras la seguridad de su sitio, alguien más si lo hará. 😁

Deja un comentario

¡NO sigas este enlace o serás bloqueado en este sitio!

A %d blogueros les gusta esto: